FIN7 2.0返来:“借尸还魂”的可疑构造们 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

FIN7 2.0返来:“借尸还魂”的可疑构造们

申博_新闻事件 申博 66次浏览 未收录 0个评论

2018年8月1日,美国司法部宣告拘系了几名涉嫌与FIN7网络立功构造相干的嫌疑人。 FIN7从2015年起最先运营,曾针对数百家公司展开过入侵行为,FIN7的幕后策划者还经由历程创办假公司,雇佣长途测试职员、开辟职员和翻译职员介入他们的歹意营业。其歹意运动的重要目的是偷取公司的金融资产(如借记卡),或获得财务部门的电脑权限和金融数据,进而偷取公司资金。

在2018年至2019年时期,卡巴斯基实验室剖析了以往与FIN7雷同TTPs(战术、手艺和历程)的种种行为,得出的结论让研究职员确信:虽然FIN7的相干行为人已被拘系,但其实不意味着FIN7运动的闭幕。另外,在观察历程当中,我们发明了某(些)歹意构造好像复制了FIN7的套路。

近来的FIN7运动

客岁一全年,FIN7把精神都集合在了鱼叉式垂纶运动上,FIN7的垂纶运动每每具有高针对性,在多起案例中我们看到,FIN7在发送歹意文件前会与受害者交流数周的信息。2018年,FIN7光是在垂纶运动中运用的一个域名就包罗130多个电子邮件别号,申明应该是有凌驾130家公司成为了他们的进击目的。

歹意文件

我们已看到两种范例的垂纶文件。第一种应用Microsoft Word的INCLUDEPICTURE功用猎取有关受害者盘算机的上下文信息、Microsoft Word的可用性和版本号。第二种在多半情况下是设置了简朴暗码的Office文档(比方“12345”,“1234”等),应用宏在目的盘算机上植入GRIFFON,宏也会调理义务以使GRIFFON耐久化。

并且,FIN7还会应用公然宣布的、关于其他歹意构造进击手腕的一些研究报告,来革新他们的手段。好比FIN7能够或许就参考了Cobalt构造(一个特地损坏网络金融机构和银行的要挟阻挠)ThreadKit东西,来开辟他们的歹意Office文档构建器,在2018年夏日他们曾运用过这个东西。新的构建器能在Author和Company元数据字段中插进去随机值,还能让进击者修正要挟目标,比方wscript.exe或sctasks.exe副本的文件名等。

FIN7 2.0返来:“借尸还魂”的可疑构造们

表1.从运用sctasks完成GRIFFON耐久性的文档中提取要挟目标

FIN7 2.0返来:“借尸还魂”的可疑构造们

表2.从与GRIFFON相干的通例文档中提取的要挟目标

GRIFFON植入

FIN7 2.0返来:“借尸还魂”的可疑构造们图1.Griffon歹意软件进击形式

GRIFFON是一种轻量级、校验器款式的JScript,没有任何耐久性机制。它是为吸收模块而设想的,这些模块将在内存中实行,并将效果发送到C2。在观察历程当中,我们得到了四个分歧的模块。

侦探模块

GRIFFON歹意软件下载到受害者盘算机的第一个模块是用于信息网络的JScript,能让进击者相识受沾染事情站的上下文。该模块重要依托WMI和Windows对象来通报效果,并将效果发送回进击者。在侦探阶段,该模块会从体系中检索了20多个局部,从操纵体系装置的日期时刻、到Windows域中的成员干系、再到事情站监视器的列表和分辨率等。

Meterpreter下载器

进击者运用第二个模块来实行一个殽杂的PowerShell剧本,该剧本包罗一个被称为“Tinymet”的Meterpreter下载器。在曩昔的FIN7运动中我们也看到过这个下载器,它会下载一个单字节、经由异或加密的meterpreter shellcode来实行。

截图模块

第三个模块许可进击者截取长途体系的屏幕截图。为此,它将PowerShell剧本放到事情站上去实行,该剧本会实行用于截取屏幕截图的开源.NET类。天生的屏幕截图保存在“%TMP%/image.png”,由GRIFFON发送回进击者后自行删除。

耐久性模块

末了检索到的模块是一个耐久性模块。若是受害者对进击者有价值,GRIFFON植入装置递次就会被推送到受害者的事情站。此模块将GRIFFON植入的另一个实例存储在注册表中以完成耐久性,这是一种PowerLinks款式的要领,用于在每一个用户登录时完成耐久性并实行GRIFFON植入。新的GRIFFON在每次实行之前都被写入硬盘驱动器,从而做到了“无文件”沾染。

GRIFFON不只体量轻,并且构造也是模块化的,可谓圆满的校验器。只管我们已检索出四个分歧的模块,但FIN7能够或许在他们的东西集合有更多的模块来完成他们在受害者事情站上的目的。

寻觅GRIFFON基础设施

进击者每每都邑显露千丝万缕,FIN7也不破例。客岁,操纵职员犯的一个重要毛病使我们能够或许跟踪GRIFFON植入的敕令和掌握效劳器。为了诳骗蓝队和其他DFIR剖析师,FIN7在他们的C2s效劳器上创建了假的HTTP 302重定向到种种Google效劳。

HTTP/1.1 302 Found
Server: nginx
Date: [retracted]
Content-Type: text/html; charset=UTF-8
Content-Length: 0
Connection: keep-alive
Location: https://cloud.google.com/cdn/

上述代码申明,在端口443上会返回大多半GRIFFON C2s效劳器的标头。

这个毛病让我们能够一周周地跟踪FIN7的基础设施,直到2018年12月尾,有人在Twitter上推出了跟踪C2的启发式算法。在这条推文宣布几天后,也就是2019年1月,FIN7就马上改变了上岸页面以防跟踪。

冒充的渗入测试公司

在与GRIFFON基础设施相干的观察历程当中,我们发明GRIFFON C2的WHOIS旧纪录与假公司网站之间存在新鲜的堆叠。

据该网站称,该域名属于某个“俄罗斯当局全资具有”的正当平安公司,并在“莫斯科,圣彼得堡和叶卡捷琳堡”设有办事处,但地点却显现该公司位于纽约的特朗普大厦。鉴于FIN7之前也有冒充证券公司的阅历,我们决议再次深切发掘。

当我们检察网站的内容时,显着能看出险些一切运用的文本都是从正当的平安公司网站中提取的。短语和句子从以下公司网站中复制粘贴:

DKSec – www.dksec.com
OKIOK – www.okiok.com/services/tailored-solutions
MainNerve – www.mainnerve.com
Datics – www.datatics.com/cyber-security
Perspective Risk – www.perspectiverisk.com
Synack – https://www.synack.com/company
FireEye – https://www.fireeye.com/services/penetration-testing.html

看上去FIN7在应用这家公司雇用新人翻译、开辟职员和测试职员。我们在雇用网站上也发明了该公司的种种雇用广告。

除此之外,该公司事情职员的简历中,大多都有提到在该公司事情的阅历,个中一些人能够或许以至不知道他们是在为网络立功营业事情。

FIN7与其他构造的联络

借助Adidnsdump工具,用普通权限的域帐户即可获取域环境中的所有DNS解析记录

在讲解本文之前,先介绍一下域账户和DNS的几个基本概念。 域账户 域账户是域是网络对象的分组。例如:用户、组和计算机。域中所有的对象都存储在 Active Directory (AD)下。Active Directory 可以常驻在某个域中的一个或多个域控制器下。 什么是DNS? DNS( Domain Name System)是“域名系统”的英文缩写,是一种组织成域层次结构的计算机和网络服务命名系统,它用于TCP/IP网络,它所提供的服务是用来将服务器名和域名转换为IP地址的工作,DNS就是这样的一位“翻译官”。 为什么需要DNS解析域名为IP地址? 网络通讯大部分是基于TCP/IP的,而TCP/IP是基于IP地址的,所以计算机在网络上进行通讯时只能识别如“202.96.134.133”之类的IP地址,而不能认识域名。我们无法记住10个以上IP地址的网站,所以我们访问网站时,更多的是在浏览器地址栏中输入域名,就能看到所需要的页面,这是因为有一个叫“DNS服务器”的计算机自动把我们的域名“翻译”成了相应的IP地址,然后调出IP地址所对应的网页。 DNS域传送(DNS zone transfer) DNS域传送漏洞是黑客常用的一种漏洞攻击手段,黑客可以用该漏洞快速的判定出某个特定zone的所有服务器,收集域信息,选择攻击目标,找出未使用的IP地

在2018年岁终和2019年终,我们在跟踪立功分子运动时,发明有些构造在TTP上与FIN7有肯定类似性,虽然没有明白证据注解他们和FIN7之间有联系关系,但我们照样决议在本文中表露这些能够或许性。

CobaltGoblin / EmpireMonkey

FIN7在汗青上与Cobalt/EmpireMonkey的TTP有过屡次堆叠。他们重要针对各大银行及金融机构。在2018岁尾,该构造最先运用CobaltStrike和Powershell Empire在受害者的网络上驻足。胜利渗入后应用后门和CobaltStrike框架、Powershell Empire组件接见受害者秘要信息并赢利。

FIN7的末了一次行为针对的是欧洲和中美洲的银行,时刻是往年早些时刻,涉嫌从马耳他的瓦莱塔银行偷取1300万欧元。

FIN7 2.0返来:“借尸还魂”的可疑构造们

图2.FIN7于2018岁尾至2019年终运用的歹意文档示例

Cobalt/EmpireMonkey与近来的FIN7运动中的堆叠局部:

二者都运用宏将wscript.exe复制到以“ms”开首另一个文件中(mses.exe – FIN7,msutil.exe  – EmpireMonkey)。

二者都在%TEMP%中实行名为“error”的JScript文件(FIN7-Errors.txt,EmpireMonkey-Errors.bat)。

二者都运用了带有分歧宏的DocuSign钓饵文档。纵然宏代码完整分歧,宏也会弹出雷同的“文档解密毛病”毛病音讯。

我们以为,虽然这两个运动集群是由分歧的团队运营的,但对FIN7和Cobalt之间的汗青联系关系性有很高的自信心。

AveMaria

AveMaria是一个新的僵尸网络,我们在2018年9月发明了它的第一个版本,就在FIN7成员被捕以后。我们有充足来由置信该僵尸网络属于FIN7。AveMaria是一个典范的信息偷取bot递次,能够从种种范例的软件中网络一切凭证:浏览器,电子邮件客户端,信箱等,并且能够充任键盘纪录器。自2019年终以来,我们已网络了AveMaria1300多个样本,并提取了130多个C2。

为了流传他们的歹意软件,立功分子运用带有种种附件的垂纶邮件:MS Office文档或应用CVE-2017-11882等已知破绽的电子表格文件,或许运用Ole2Link和SCT的文档。它们还运用AutoIT dropper,受暗码保护的EXE文件以至ISO映像。在一些电子邮件中,他们会让目的用户在他们有任何问题的时刻给他们打电话,这点跟FIN7一样。

FIN7 2.0返来:“借尸还魂”的可疑构造们

图3.AveMaria运用电子邮件样本

在对FIN7的观察中,我们发明FIN7和AveMaria的基础设施之间有堆叠。雷同IP范围内的两台效劳器和AS14576(自治体系)同享一个非标准SSH端口222。个中一个效劳器是Griffon C2,另一个是AveMaria C2。

FIN7 2.0返来:“借尸还魂”的可疑构造们

目的的散布则是另一个因考证素,我们在2019年2月和3月时期剖析的AveMaria样本中,鱼叉式垂纶邮件仅发送给企业,并没有针对小我,个中30%的目的是中小型公司,多是大型企业的供应商或效劳提供商,21%是种种制作公司,和几个典范的FIN7目的,如零售商和旅店。AveMaria目的有72%都在欧盟。

FIN7 2.0返来:“借尸还魂”的可疑构造们

CopyPaste

在2018岁尾遥测搜刮新的FIN7运动时,我们发明了一组运动,属于一个未知的APT构造,我们临时将之称为“CopyPaste”,运动针对的是一个非洲国家的金融实体和公司。

这组运动依赖于开源东西(如Powershell Empire)和优越的红队手艺,能在受害者的网络合站稳脚跟制止被发明。

以下是CopyPaste和FIN7的重要类似之处:

二者都运用了雷同的Microsoft PowerShell参数殽杂递次:“powershell.exe -NoP -NonI -ExecutionPolicy Bypass”。我们只看到FIN7和CopyPaste运用这个参数列表来实行它们的歹意Powershell剧本。

二者都在他们的C2上运用了钓饵302 HTTP重定向和域名挟制手艺,这点让人联想到Cobalt和FIN7。与CopyPaste相干联的Empire C2对Digitcert和Microsoft网站举行了钓饵重定向,应用捏造的就业或税务网站来托管其payload。FIN7和Cobalt也运用了钓饵302 HTTP重定向,FIN7在2018年1月之前的GRIFFON C2s上运用了FIN7,而Cobalt在登台效劳器上运用了类似CopyPaste的体式格局。

近来,FIN7运用域名digicert-cdn [.] com对“Digicert”品牌举行了极大误导,该域名用作GRIFFON的敕令和掌握效劳器,并且CopyPaste还运用他们的域名digicertweb [.] com和digi-cert [.] org对真正的“Digicert”举行了域名挟制,这两个域名都被用作Powershell Empire C2,并将钓饵HTTP 302重定向到正当的Digicert网站。

CopyPaste和FIN7之间的联络其实不猛烈。CopyPaste的行为能够或许受到了公然表露的研究报告的影响,与FIN7没有任何干系。

结论

2018年,欧洲刑警构造和美国司法部宣告拘系了FIN7和Carbanak / CobaltGoblin网络立功构造的领导人。虽然看似会对构造的运营产生影响,但近来的数据注解,进击仍在延续。CobaltGoblin和FIN7其旗下运营的整体数目能够或许以至有扩展的趋向。我们观察到,有几个互相联系关系的群体在运用异常类似的东西包和雷同的基础设施来举行网络进击。

首先是有名的FIN7,它的进击目的集合在种种公司的财务数据或PoS基础设施上,依托了Griffon JS的后门,和在近来的进击中运用的Cobalt/Meterpreter的Powershell Empire。第二类是CobaltGoblin/Carbanak/EmpireMonkey,他们运用雷同的东西包、手艺和类似的基础设施,但只针对金融机构和相干软件/效劳提供商。

我们以为AveMaria僵尸网络与这两个群体有肯定的相干性:AveMaria的目的大多是大公司的供应商,并且AveMaria治理基础设施的体式格局与FIN7异常类似。而近来发明的CopyPaste构造和FIN7之间的联系关系性其实不强。

上述一切构造都从未实时装置补钉的企业情况中获得了伟大的优点,因而,继承经由历程一些尽人皆知的MS Office破绽、应用运用鱼叉式垂纶进击对他们来说是可行的。到目前为止,这些构造还没有应用过0 day破绽。

FIN7 / Cobalt网络垂纶文档能够或许看起来很简朴,但用到了点上也能形成伟大的损坏影响,我们置信他们会继承制造一些欲盖弥彰的新手腕来取利。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明FIN7 2.0返来:“借尸还魂”的可疑构造们
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址